{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows XP Service Pack 2 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows XP Professional x64 Edition.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 2000 Service Pack 4 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2007-04-03","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire dans Windows permet de\nprovoquer un d\u00e9ni de service de toute application essayant de visualiser\nun fichier wmf. Il existe d'ores et d\u00e9j\u00e0 du code permettant\nl'exploitation de cette faille et causant un d\u00e9ni de service sur toute\napplication utilisant les composants de Windows qui permettent la\nvisualisation des fichiers au format WMF.  \nLe CERTA n'a pour le moment pas connaissance d'eventuel code permettant\nl'ex\u00e9cution de code arbitraire \u00e0 distance mais cette \u00e9ventualit\u00e9 est\nenvisageable.\n\n03 avril 2007 :\n\nMicrosoft publie le bulletin de s\u00e9curit\u00e9 MS07-017 qui propose un\ncorrectif pour cette vuln\u00e9rabilit\u00e9. Ce bulletin est mentionn\u00e9 dans\nl'avis CERTA-2007-AVI-156.\n\n## Contournement provisoire\n\nLa vuln\u00e9rabilit\u00e9 touchant probablement les m\u00eames composants que ceux\nd\u00e9crits dans l'alerte CERTA-2005-ALE-019, les contournements y \u00e9tant\nd\u00e9taill\u00e9s sont applicables dans le cas pr\u00e9sent :\n\nNB : le contournement provisoire cit\u00e9 en paragraphe 5.2 donne l'illusion\nde fonctionner sans les privil\u00e8ges administrateur, du fait que\nl'utilisateur est inform\u00e9 du bon d\u00e9roulement de la d\u00e9sactivation du\ncomposant shimgvw.dll. Cependant le composant vuln\u00e9rable reste actif et\npar cons\u00e9quent le syst\u00e8me reste vuln\u00e9rable.\n\n## 5.1 Interdiction du composant shimgvw.dll dans la politique de s\u00e9curit\u00e9\n\nLe contournement provisoire suivant ne peut s'appliquer que dans le cas\no\u00f9 vous disposez d'un ou plusieurs syst\u00e8mes Microsoft Windows 2003\nServer en tant que contr\u00f4leur de domaine.\n\nDans ce cas, vous pouvez appliquer une politique de s\u00e9curit\u00e9 interdisant\nl'utilisation du composant shimgvw.dll pour toute votre unit\u00e9\norganisationnelle.\n\n## 5.2 D\u00e9sactivation du composant shimgvw.dll\n\nIl appara\u00eet que les applications faisant appel au composant shimgvw.dll\nde Microsoft Windows deviendraient vuln\u00e9rables. Parmi les applications\nvuln\u00e9rables, nous pouvons citer par exemple Mozilla Firefox, Google\nDesktop.\n\nC'est pour cela que le CERTA propose un contournement provisoire plus\nradical que celui propos\u00e9 au chapitre 5.2 en d\u00e9sactivant le composant\nshimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des\napplications m\u00e9tiers utilisant cette dll.\n\nLes composants de Microsoft Windows affect\u00e9es par ce contournement\nprovisoire seront au minimum :\n\n-   GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;\n-   HTML Thumbnail Extractor Windows Picture and Fax Viewer ;\n-   Shell Image Data Factory Windows Picture and Fax Viewer ;\n-   Shell Image Property Handler Windows Picture and Fax Viewer ;\n-   Shell Image Verbs Windows Picture and Fax Viewer ;\n-   Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax\n    Viewer ;\n\n  \n\nProc\u00e9dures \u00e0 suivre :\n\n-   Afin de d\u00e9sactiver le composant shimgvw.dll de Microsoft Windows :\n    -   Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n    -   tapez \"regsvr32.exe -u shimgvw.dll\" puis \"Entr\u00e9e.\n-   Afin de r\u00e9activer (lorsque le correctif sera disponible) le\n    composant shimgvw.dll de Microsoft Windows :\n    -   Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n    -   tapez \"regsvr32.exe shimgvw.dll\" puis \"Entr\u00e9e\".\n\nSi vous ne disposez pas du fichier regsvr32.exe, il peut \u00eatre t\u00e9l\u00e9charg\u00e9\n\u00e0 partir du site de Microsoft, \u00e0 l'adresse suivante :\n\n    http://support.microsoft.com/kb/q267279/\n\n## 5.3 Contournement provisoire pour Internet Explorer\n\nAfin de limiter l'impact d'un fichier wmf malveillant sur le syst\u00e8me :\n\n-   bloquer l'ex\u00e9cution apr\u00e8s t\u00e9l\u00e9chargement de fichier ayant\n    l'extension wmf ;\n\n    1.  cliquez sur \"D\u00e9marrer\" puis sur \"Poste de travail\" ;\n    2.  dans le menu \"Outils\" cliquez sur \"Options des dossiers\" ;\n    3.  dans l'onglet \"Types de fichiers\", s\u00e9lectionnez dans la liste\n        WMF ;\n    4.  dans l'encadr\u00e9 \"D\u00e9tails concernant l'extension 'WMF'\", cliquez\n        sur \"Avanc\u00e9\" ;\n    5.  cochez l'option \"Confirmer l'ouverture apr\u00e8s le t\u00e9l\u00e9chargement\"\n        puis acceptez les modifications.\n\n    Le contournement cit\u00e9 ci-dessus pr\u00e9vient le t\u00e9l\u00e9chargement et\n    l'ex\u00e9cution automatique du fichier malveillant, toutefois\n    l'utilisateur peut t\u00e9l\u00e9charger et ex\u00e9cuter manuellement le fichier\n    et provoquer ainsi la compromission de son syst\u00e8me.\n\n## 5.4 Rappels de principes g\u00e9n\u00e9raux\n\n-   Afficher les messages en texte brut dans votre client de messagerie\n    conform\u00e9ment \u00e0 la note de recommandation CERTA-2000-REC-001 (cf.\n    Section Documentation) ;\n-   en compl\u00e9ment, la r\u00e8gle g\u00e9n\u00e9rale de mise \u00e0 jour r\u00e9guli\u00e8re des\n    anti-virus est bien entendu \u00e0 respecter dans ce cas l\u00e0 ;\n-   m\u00e9mento du CERTA sur les virus (cf. section Documentation) ;\n-   Note d'information du CERTA sur le SPAM (cf. Documentation).\n\n## Solution\n\nSe reporter au bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 pour\nl'application des correctifs.\n","cves":[],"links":[{"title":"Avis CERTA-2007-AVI-156 du 03 avril 2007 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-156/"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :","url":"http://www.microsoft.com/france/technet/security/bulletin/MS07-017.mspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :","url":"http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx"}],"reference":"CERTA-2007-ALE-002","revisions":[{"description":"version initiale.","revision_date":"2007-01-12T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft MS07-017.","revision_date":"2007-04-03T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 non corrig\u00e9e pr\u00e9sente dans Windows permet \u00e0 un\nutilisateur distant de provoquer un d\u00e9ni de service sur une application\nvuln\u00e9rable.\n","title":"Vuln\u00e9rabilit\u00e9 dans Windows","vendor_advisories":[]}